KNF AWS

AWS - czyli chmura obliczeniowa w Warszawie

AWS i komunikat KNF z 23 stycznia 2020

Jako Producent oprogramowania w takiej dziedzinie jak ubezpieczenia  wdrążyliśmy dedykowaną umowy z dostawcą chmury obliczeniowej AWS, który
potwierdza, że chmura AWS jest w 100% zgodna z komunikatem UKNF z 23 stycznia 2020

My jako spółka Blue Rocket sp. z o.o. stawiamy na najwyższym poziomie wymogi bezpieczeństwa „Security is JobZero”
Co w naszym wypadku jest zgodne z wizją AWS i spółki Blue Rocket sp. z o.o. 
Dokładamy wszelkie możliwe siły, aby być w pełni zgodnym z    komunikatem UKNF – zobacz

"Security is job zero"

„Security is job zero” to jedno z głównych podejść firmy Amazon Web Services (AWS) do bezpieczeństwa w chmurze. Oznacza to, że bezpieczeństwo jest absolutnym priorytetem dla AWS, który jest równie ważny jak sama dostępność usług.

AWS traktuje bezpieczeństwo jako swoją podstawową odpowiedzialność i wdraża szeroki zakres środków bezpieczeństwa, takich jak wirtualne sieci prywatne (VPC), kontrola dostępu na poziomie sieci (Network Access Control), kontrola dostępu na poziomie użytkownika (Identity and Access Management), szyfrowanie danych w ruchu i w spoczynku, a także wiele innych zabezpieczeń.

„Security is job zero” jest integralną częścią podejścia AWS do bezpieczeństwa, zapewniając, że ochrona danych i infrastruktury klientów jest w centrum ich uwagi i działań.

Przegląd regulacji prawnych AWS i KNF— Poland

Co to jest chmura AWS ?

Amazon Web Services (AWS) to platforma chmurowa oferująca szeroki zakres usług dla przedsiębiorstw i innych organizacji, które chcą wykorzystać potencjał chmury do przechowywania danych i wdrażania aplikacji. Chmura AWS pozwala użytkownikom na szybkie i łatwe wdrażanie rozwiązań IT bez konieczności zakupu i utrzymywania własnej infrastruktury.

Głównymi zaletami chmury AWS są:

  1. Elastyczność: Chmura AWS pozwala na dostosowanie zasobów chmurowych do zmieniających się potrzeb biznesowych. Użytkownicy mogą w prosty sposób zwiększać lub zmniejszać moc obliczeniową, przestrzeń dyskową czy transfer danych, w zależności od bieżących potrzeb.

  2. Skalowalność: Chmura AWS pozwala na skalowanie aplikacji w zależności od potrzeb. Dzięki temu użytkownicy mogą szybko i łatwo zwiększać lub zmniejszać moc obliczeniową, a także przechowywanie danych, w zależności od wymagań aplikacji.

  3. Oszczędność: Dzięki korzystaniu z chmury AWS, użytkownicy nie muszą inwestować we własną infrastrukturę IT, co pozwala na znaczne oszczędności kosztów. Ponadto płacą tylko za wykorzystywane zasoby, co umożliwia optymalizację kosztów w ramach różnych projektów.

  4. Bezpieczeństwo: Chmura AWS zapewnia wysoki poziom bezpieczeństwa danych. Platforma posiada szereg mechanizmów zabezpieczających, takich jak szyfrowanie danych w trakcie przechowywania czy transmisji, zarządzanie dostępem do danych i wirtualnymi sieciami prywatnymi, dzięki czemu użytkownicy mogą mieć pewność, że ich dane są chronione.

  5. Wysoka dostępność: AWS zapewnia wysoką dostępność usług, dzięki systemom zapasowym i replikacji danych. Dzięki temu, aplikacje działające w chmurze AWS są dostępne przez całą dobę, co pozwala na ciągłość działania biznesu.

Chmura AWS oferuje wiele korzyści, takich jak elastyczność, skalowalność, oszczędność kosztów, bezpieczeństwo i wysoką dostępność. Platforma ta jest idealnym rozwiązaniem dla przedsiębiorstw i organizacji, które chcą zwiększyć swoją wydajność i efektywność, poprzez wykorzystanie chmury do przechowywania danych i wdrażania aplikacji.

Chmura AWS a KNF

Chmura AWS to jedna z najpopularniejszych platform chmurowych na rynku, oferująca szereg usług umożliwiających przechowywanie danych i wdrażanie aplikacji w chmurze. Jednym z najważniejszych czynników przy wyborze dostawcy chmury jest bezpieczeństwo danych i komunikacji. W tym kontekście chmura AWS ma wiele zalet i zapewnia szereg mechanizmów zabezpieczających, które spełniają wymagania regulacyjne, w tym rekomendacje Komisji Nadzoru Finansowego (KNF).

Jednym z najważniejszych mechanizmów bezpieczeństwa w chmurze AWS jest szyfrowanie danych. AWS umożliwia szyfrowanie danych w trakcie przechowywania i transmisji, co zapewnia ochronę przed kradzieżą, utratą lub nieuprawnionym dostępem do informacji. W chmurze AWS dostępne są różne rodzaje szyfrowania, takie jak AES 256-bit, który spełnia normy FIPS 140-2, co oznacza, że ​​jest uznawany za standardowy sposób ochrony danych w sektorze finansowym.

Ponadto chmura AWS zapewnia mechanizmy zarządzania dostępem do danych, dzięki czemu użytkownicy mogą kontrolować, kto ma dostęp do informacji i jakie czynności może wykonywać. Użytkownicy mogą również korzystać z wirtualnych sieci prywatnych, które pozwalają na izolację aplikacji i danych, co zwiększa poziom bezpieczeństwa.

Chmura AWS spełnia również wymagania regulacyjne i rekomendacje KNF dotyczące ochrony danych. AWS posiada certyfikaty bezpieczeństwa, takie jak SOC 1, SOC 2, ISO 27001, co oznacza, że platforma ta spełnia międzynarodowe standardy bezpieczeństwa.

W kontekście komunikacji AWS oferuje szereg usług umożliwiających bezpieczną komunikację, takich jak Amazon Virtual Private Cloud (VPC), który zapewnia izolację aplikacji i danych, czy Amazon Direct Connect, który umożliwia połączenie prywatne między chmurą AWS a lokalną infrastrukturą. Użytkownicy chmury AWS mogą również korzystać z narzędzi, takich jak Amazon CloudWatch, które umożliwiają monitorowanie i analizowanie zachowania aplikacji i usług w chmurze.

 

Jaki firmy ubezpieczeniowe korzystają z AWS

Wiele firm ubezpieczeniowych korzysta z usług AWS, ponieważ pozwala im to na skalowanie ich infrastruktury i przetwarzanie dużych ilości danych. Przykłady takich firm to:

  • PZU – największa polska firma ubezpieczeniowa, która wykorzystuje AWS do przetwarzania danych dotyczących ubezpieczeń oraz do rozwijania swoich projektów w chmurze
  • Allianz – międzynarodowa firma ubezpieczeniowa, która wykorzystuje AWS do zarządzania swoimi usługami chmurowymi dla klientów z całego świata
  • Pramerica – międzynarodowa firma ubezpieczeniowa, która korzysta z AWS do rozwijania swoich rozwiązań w chmurze, w szczególności w zakresie ubezpieczeń na życie i emerytalnych
  • AXA – międzynarodowa firma ubezpieczeniowa, która wykorzystuje AWS w swoich rozwiązaniach, w tym do zarządzania danymi związanymi z ubezpieczeniem

Warto zauważyć, że wiele firm ubezpieczeniowych korzysta z AWS jako z jednej z opcji w zestawie wielu rozwiązań chmury.  Nie tylko firmy ubezpieczeniowe, ale także wiele banków w Polsce korzysta z usług chmury AWS, ponieważ pozwala im to na skalowanie ich infrastruktury i przetwarzanie dużych ilości danych oraz udostępnianie aplikacji w chmurze dla swoich klientów. Przykłady takich banków to:

  • PKO Bank Polski – największy polski bank, który wykorzystuje AWS do rozwijania swoich projektów w chmurze, takich jak bankowość internetowa czy aplikacje mobilne
  • mBank – polski bank, który korzysta z AWS do przetwarzania danych i rozwijania swoich usług internetowych
  • Santander – międzynarodowy bank, który wykorzystuje AWS do zarządzania swoimi usługami chmurowymi dla klientów z całego świata
  • ING – międzynarodowy bank, który korzysta z AWS do rozwijania swoich rozwiązań w chmurze, w szczególności w zakresie bankowości elektronicznej

Jak w przypadku firm ubezpieczeniowych, tak i w bankowości, firmy często korzystają z różnych rozwiązań chmurowych, i AWS jest jednym z popularnych wyborów. Warto zauważyć, że wiele banków w Polsce oraz międzynarodowych, korzysta z różnych rozwiązań chmurowych, w zależności od potrzeb konkretnego projektu lub usługi.

Datacenter AWS w Warszawie

Datacenter AWS to centra danych (ang. data centers) należące do Amazon Web Services (AWS), które dostarczają usługi chmury obliczeniowej, takie jak przechowywanie danych, przetwarzanie danych i uruchamianie aplikacji w chmurze. AWS dysponuje obecnie setkami centrów danych na całym świecie, co zapewnia wysoce skalowalne, wydajne i niezawodne rozwiązania dla klientów. Aplikacja PanAgent wykorzystuje do przechowywania danych data center zlokalizowanym w Warszawie (eu-central-1-waw-1a)

RODO

Rozporządzenie o ochronie danych

General Data Protection Regulation (GDPR, Ogólne rozporządzenie o ochronie danych, RODO) jest europejskim prawem ochrony prywatności 1 (rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. 2 ), które weszło w życie 25 maja 2018 r. GDPR zastępuje unijną dyrektywę o ochronie danych osobowych (Dyrektywa 95/46/WE ) i ma na celu harmonizację przepisów o ochronie danych w całej Unii Europejskiej (UE) poprzez zastosowanie jednego prawa o ochronie danych, które jest wiążące dla każdego państwa członkowskiego UE. GDPR ma zastosowanie do wszelkiego rodzaju przetwarzania danych osobowych przez organizacje mające siedzibę w UE lub organizacje przetwarzające dane osobowe mieszkańców UE oferujące towary lub usługi osobom fizycznym w UE lub monitorujące zachowania mieszkańców UE w UE. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Rola AWS zgodnie z zapisami GDPR

Zgodnie z zapisami GDPR AWS może być zarówno podmiotem przetwarzającym dane, jak i ich administratorem.

AWS jako podmiot przetwarzający dane

Gdy klienci i dostawcy rozwiązań AWS korzystają z usług AWS w celu przetwarzania danych osobowych w swoich treściach, AWS pełni rolę podmiotu przetwarzającego dane. Do przetwarzania danych osobowych klienci i dostawcy rozwiązań AWS mogą korzystać z funkcji kontrolnych dostępnych w usługach AWS, w tym kontroli konfiguracji zabezpieczeń. W takich okolicznościach klient lub dostawcy rozwiązań AWS mogą pełnić rolę administratora lub podmiotu przetwarzającego dane, a AWS – podmiotu przetwarzającego dane lub podwykonawcę podmiotu przetwarzającego dane. Uzupełnienie dotyczące przetwarzania danych zgodnie z wymogami GDPR AWS (DPA) zawiera obowiązki AWS jako podmiotu przetwarzającego dane.

Ramy ścisłej zgodności i normy bezpieczeństwa

Zgodnie z zapisami GDPR odpowiednie środki techniczne i organizacyjne mogą wymagać uwzględnienia „zdolności do zapewnienia ciągłej poufności, integralności, dostępności i niezawodności systemów i usług przetwarzania danych”, jak również niezawodnych procesów przywracania, testowania i ogólnego zarządzania ryzykiem. Program zgodności AWS Program AWS Compliance umożliwia klientom zapoznanie się z mocnymi mechanizmami kontrolnymi stosowanymi w AWS w celu utrzymania bezpieczeństwa i ochrony danych w chmurze AWS Cloud. Po wbudowaniu systemów w chmurę AWS Cloud odpowiedzialność za zgodność jest dzielona. Dzięki połączeniu zorientowanych na zarządzanie, przyjaznych dla audytora funkcji usług z obowiązującymi standardami zgodności lub audytu, mechanizmy zapewniające zgodność AWS Compliance, takie jak AWS Config, AWS CloudTrail, AWS Identity i Access Management, Amazon GuardDuty i AWS Security Hub opierają się na tradycyjnych programach, które pomagają klientom tworzyć i działać w środowisku kontrolowanym pod względem bezpieczeństwa. Infrastruktura IT, którą AWS zapewnia swoim klientom, jest projektowana i zarządzana zgodnie z najlepszymi praktykami w zakresie bezpieczeństwa i wieloma standardami bezpieczeństwa IT, np.:

  • SOC 1/SSAE 16/ISAE 3402 (dawniej SAS 70)
  • SOC 2
  • SOC 3
  • FISMA, DIACAP i FedRAMP
  • DoD SRG
  • PCI DSS Poziom 1
  • ISO 9001 / ISO 27001
  • ITAR
  • FIPS 140-2
  • MTCS Tier 3

Ponadto elastyczność i kontrola, jakie zapewnia platforma AWS, umożliwia klientom wdrażanie rozwiązań, które spełniają kilka branżowych standardów3 . AWS dostarcza klientom szereg informacji na temat swojego środowiska kontroli IT za pośrednictwem białych ksiąg, raportów, certyfikatów, akredytacji i innych poświadczeń od stron trzecich. Więcej informacji znajdziesz na stronie Amazon Web Services: Biała księga Risk and Compliance.

Cloud Computing Compliance Controls Catalog

Techniczne i organizacyjne środki ochrony danych oraz środki służące do zabezpieczenia informacji są ukierunkowane na bezpieczeństwo danych w celu zapewnienia poufności, integralności i dostępności. C5 określa wymogi bezpieczeństwa, które mogą być również istotne dla ochrony danych. Certyfikat C5 może być wykorzystywany przez klientów AWS i ich doradców ds. zgodności w celu zapoznania się z zakresem usług związanych z zapewnieniem bezpieczeństwa IT oferowanych przez AWS, gdy klienci przenoszą swoje pliki do chmury. C5 wprowadza zdefiniowany prawnie poziom bezpieczeństwa IT równoważny z poziomem bezpieczeństwa IT-Grundschutz, z dodatkiem środków kontroli specyficznych dla chmury. C5 zawiera więcej środków kontroli, które dostarczają informacji dotyczących lokalizacji danych, świadczenia usług, miejsca jurysdykcji, istniejącej certyfikacji, obowiązków w zakresie ujawniania informacji oraz opisu pełnego zakresu usług. Korzystając z tych informacji, można ocenić, w jaki sposób regulacje prawne (takie jak prywatność danych), własne zasady lub środowisko zagrożenia odnoszą się do korzystania z usług przetwarzania w chmurze..

Kontrola dostępu do aplikacji internetowych i aplikacji mobilnych

AWS świadczy usługę zarządzania kontrolą dostępu do danych w ramach swoich aplikacji. Jeśli musisz dodać funkcje logowania użytkownika i kontroli dostępu do aplikacji internetowych i aplikacji mobilnych, możesz użyć Amazon Cognito. Amazon Cognito User Pools oferuje bezpieczny katalog użytkownika, który skaluje się do setek milionów użytkowników. Aby chronić tożsamość użytkowników, można do puli użytkowników dodać uwierzytelnianie wieloczynnikowe (MFA). Można również użyć uwierzytelniania adaptacyjnego, które wykorzystuje model oparty na ryzyku, aby przewidzieć, kiedy może być potrzebny inny czynnik uwierzytelniający. Dzięki Amazon Cognito możesz sprawdzić, kto uzyskał dostęp do Twoich zasobów i skąd pochodzi dostęp (aplikacja mobilna czy internetowa). Informacje te można wykorzystać do tworzenia zasad bezpieczeństwa, które umożliwiają lub uniemożliwiają dostęp do zasobów w zależności od rodzaju źródła dostępu (aplikacja mobilna lub internetowa).

Monitorowanie i logowanie 

Artykuł 30 GDPR stanowi, że „każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają”. Ten artykuł zawiera również szczegółowe informacje o tym, które informacje muszą być rejestrowane podczas monitorowania przetwarzania wszystkich danych osobowych zgodnie z wymogami GDPR. Administratorzy i podmioty przetwarzające dane są również zobowiązani do terminowego wysyłania powiadomień o naruszeniach, dlatego ważne jest szybkie wykrywanie incydentów. Aby pomóc klientom wywiązać się z tych zobowiązań, AWS oferuje następujące usługi monitorowania i logowania.

Ochrona danych w AWS

Artykuł 32 GDPR wymaga od organizacji, żeby wdrożyły „odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi… pseudonimizację i szyfrowanie danych osobowych…”. Ponadto organizacje muszą zabezpieczyć się przed nieuprawnionym ujawnieniem lub dostępem do danych osobowych. Szyfrowanie zmniejsza ryzyko związane z przechowywaniem danych osobowych, ponieważ bez właściwego klucza dane są nieczytelne. Szczegółowa strategia szyfrowania może pomóc złagodzić wpływ różnych zdarzeń związanych z bezpieczeństwem, w tym niektórych naruszeń bezpieczeństwa.

Szyfrowanie danych w spoczynku

Encrypting data at rest (szyfrowanie danych w spoczynku) ma zasadnicze znaczenie dla zgodności z przepisami i ochrony danych. Pomaga zagwarantować, że żaden użytkownik lub aplikacja nie będzie mogła odczytać wrażliwych danych zapisanych na dyskach bez ważnego klucza. AWS oferuje wiele opcji szyfrowania w spoczynku i zarządzania kluczami szyfrowania. Na przykład do szyfrowania dowolnych danych można użyć usługi AWS Encryption SDK z kluczem głównym klienta (CMK) utworzonym i zarządzanym w AWS Key Management Service (AWS KMS). Zaszyfrowane dane można bezpiecznie przechowywać w spoczynku i rozszyfrować tylko przez stronę posiadającą autoryzowany dostęp do CMK. W rezultacie otrzymujesz poufne dane zaszyfrowane dynamicznie, mechanizmy reguł autoryzacji i szyfrowania uwierzytelnionego, a także logowanie audytów poprzez AWS CloudTrail. Niektóre usługi podstawowe AWS mają wbudowane funkcje szyfrowania w spoczynku, które umożliwiają szyfrowanie danych przed zapisaniem ich do nieulotnej pamięci masowej. Na przykład za pomocą szyfrowania AES-256 możesz zaszyfrować woluminy Amazon Elastic Block Store (Amazon EBS) i skonfigurować wiadra Amazon Simple Storage Service (Amazon S3) do szyfrowania po stronie serwera (SSE). Usługa Amazon Amazon Web Services Zgodność usług AWS w odniesieniu do postanowień GDPR (RODO) 21 Relational Database Service (Amazon RDS) wspomaga także szyfrowanie Transparent Data Encryption (TDE). Inną metodą szyfrowania danych w bazach instancji Linux EC2 jest wykorzystanie wbudowanych bibliotek Linuksa. Metoda ta szyfruje pliki w sposób przezroczysty, co chroni poufne dane. W rezultacie aplikacje przetwarzające dane nie posiadają informacji na temat szyfrowania na poziomie dysku. Do szyfrowania plików w bazach instancji można zastosować dwie metody. Pierwszą metodą jest pełne szyfrowanie dysku (disk encryption), w którym cały dysk lub blok w obrębie dysku jest szyfrowany przy użyciu jednego lub więcej kluczy szyfrujących. Pełne szyfrowanie dysku działa poniżej poziomu systemu plików. Jest to funkcja działająca w dowolnym systemie operacyjnym i ukrywa katalogi i informacje o plikach, takie jak nazwa i rozmiar. Przykładowo pełne szyfrowanie dysku oferuje Encrypting File System, który jest rozszerzeniem Microsoft do systemu operacyjnego Windows NT New Technology File System (NTFS). Drugą metodą jest szyfrowanie na poziomie systemu plików (file-system-level encryption). Dzięki tej metodzie szyfrowane są pliki i katalogi, a nie cały dysk lub partycja. Szyfrowanie na poziomie systemu plików działa na szczycie systemu plików i można je przenosić między systemami operacyjnymi. W przypadku woluminów non-volatile memory express (NVMe, woluminów pamięci nieulotnej express) SSD instance store volumes (woluminy pamięci masowej na dyskach SSD), domyślną opcją jest szyfrowanie. Dane w pamięci masowej instancji NVMe są szyfrowane przy użyciu szyfru blokowego XTS-AES-256 wprowadzonego w module sprzętowym na instancji. Klucze szyfrujące są generowane przy użyciu modułu sprzętowego i są unikalne dla każdego urządzenia pamięci masowej NVMe. Wszystkie klucze szyfrujące są niszczone, gdy instancja jest zatrzymana lub zamknięta, i nie można ich odzyskać. Nie możesz używać własnych kluczy szyfrujących..

Szyfrowanie danych w tranzycie

AWS stanowczo zaleca szyfrowanie danych w tranzycie z jednego systemu do drugiego, łącznie z zasobami w obrębie systemu AWS i poza nim. Podczas tworzenia konta AWS, przydziela się mu logicznie wyodrębnioną sekcję chmury AWS Cloud, czyli Amazon Virtual Private Cloud (Amazon VPC). Możesz tam uruchomić zasoby w sieci wirtualnej, którą sam definiujesz. Masz pełną kontrolę nad wirtualnym środowiskiem sieciowym, włącznie z wyborem własnego zakresu adresów IP, tworzeniem podsieci oraz konfiguracją tabel tras i bramek sieciowych. Możesz również utworzyć sprzętowe połączenie sieci Virtual Private Network (VPN, wirtualnej sieci prywatnej) pomiędzy firmowym centrum danych a Amazon VPC, dzięki czemu możesz używać chmury AWS Cloud jako rozszerzenia firmowego centrum danych. W celu ochrony komunikacji między centrum danych Amazon VPC i firmowym centrum danych możesz wybrać jedną z kilku opcji łączności VPN i wybrać taką, która najlepiej odpowiada Twoim potrzebom. Przy użyciu AWS Client VPN możesz włączyć bezpieczny dostęp do zasobów AWS, korzystając z usług VPN opartych na kliencie. Możesz również użyć innego oprogramowania urządzenia VPN, które możesz zainstalować na instancji Amazon EC2 w swoim Amazon VPC. Możesz też utworzyć połączenie IPsec VPN w celu ochrony komunikacji między VPC a siecią zdalną. Aby utworzyć dedykowane połączenie prywatne z sieci zdalnej do sieci Amazon VPC, możesz użyć usługi AWS Direct Connect. W celu utworzenia połączenia szyfrowanego przez IPsec możesz łączyć to połączenie z AWS Site-to-Site VPN. AWS udostępnia do komunikacji punkty końcowe HTTPS z wykorzystaniem protokołu TLS (Transport Layer Security), co zapewnia szyfrowanie w tranzycie podczas korzystania z AWS API. Z usługi AWS Certificate Manager (ACM) możesz korzystać w celu generowania, zarządzania i wdrażania prywatnych i publicznych certyfikatów, których używa się w celu utworzenia dla swoich zadań zaszyfrowanego transportu między systemami. Usługa Amazon Elastic Load Balancing jest zintegrowana z ACM i służy do obsługi protokołów HTTPS. Jeśli Twoje treści są dystrybuowane przez Amazon CloudFront, usługa ta obsługuje zaszyfrowane punkty końcowe.

AWS zamieszcza na swoich stronach wyjaśnienia na okoliczność bezpiecznego przechowywania danych osobowych oraz pismo komisji działającej przy Komisji Europejskiej potwierdzające wysoki poziom bezpieczeństwa danych osobowych w Amazon.

https://aws.amazon.com/compliance/gdpr-center/
https://aws.amazon.com/compliance/data-privacy-faq/

Gotowy, by zacząć?

Jeżeli czujesz, że Twoja firma potrzebuje tego rozwiązania. Chcesz wyprzedzić konkurencję i być liderem w branży, napisz – skontaktuj się ze mną. Omówimy możliwe działania wdrożenia.

`Seweryn Nowak`